Guia

Cómo implementar ISO 27701 en tu organización

Guía de implementación de un sistema de gestión de privacidad conforme a ISO/IEC 27701:2019. Extensión de ISO 27001 para datos personales, roles PII controller/processor y mapeo regulatorio.

ISO 27701 extiende ISO 27001 e ISO 27002 para cubrir la gestión de información de privacidad. Es el estándar de referencia para demostrar cumplimiento con regulaciones de protección de datos como GDPR, la Ley de Protección de Datos Personales de Argentina y la LGPD de Brasil.

Paso a paso

Verificar prerrequisitos: SGSI ISO 27001 operativo

ISO 27701 no funciona como norma independiente. Requiere un SGSI conforme a ISO 27001 ya implementado o en implementación simultánea. Verificá que los controles base del Anexo A estén operativos antes de extenderlos.

Consejo de auditor: Si aún no tenés ISO 27001, podés implementar ambas normas en paralelo. Pero no intentes certificar ISO 27701 sin la base de 27001 ya auditada.

Definir el rol de la organización: controlador o procesador de PII

ISO 27701 diferencia entre controlador de PII (quien decide la finalidad del tratamiento) y procesador (quien trata datos por cuenta del controlador). Este rol determina qué controles del Anexo A y B aplican a tu organización.

Realizar el inventario de tratamientos de datos personales

Mapeá todos los flujos de datos personales: qué datos se recolectan, con qué base legal, dónde se almacenan, quién accede, a quién se transfieren y cuánto tiempo se retienen. Este registro es la base de la evaluación de impacto en privacidad (PIA).

Consejo de auditor: Usá un formato tabular con columnas: categoría de datos, base legal, sistema, responsable, transferencia internacional (sí/no), retención. Los auditores esperan este nivel de granularidad.

Implementar controles específicos de privacidad

Además de los controles de ISO 27001, implementá los controles extendidos de los Anexos A y B de ISO 27701: consentimiento, derecho de acceso, portabilidad, anonimización, notificación de brechas y privacy by design en nuevos sistemas.

Mapear controles a regulaciones aplicables

ISO 27701 incluye en su Anexo D un mapeo a GDPR. Realizá un mapeo equivalente a la normativa de tu jurisdicción (Ley 25.326 en Argentina, LGPD en Brasil) para demostrar cómo cada control satisface los requisitos legales locales.

Consejo de auditor: Este mapeo regulatorio es un diferenciador en auditorías: demuestra que el sistema no es genérico sino adaptado a la realidad legal de la organización.

Puntos clave

ISO 27701 no es independiente: requiere ISO 27001 como base. Planificá la implementación conjunta o secuencial.
El inventario de tratamientos de datos es el artefacto más crítico: sin él, los controles de privacidad carecen de contexto.
El mapeo a regulaciones locales transforma un cumplimiento genérico en una demostración concreta ante reguladores.

Preguntas frecuentes

No de forma independiente. ISO 27701 es una extensión de ISO 27001. Podés implementar ambas simultáneamente, pero la certificación de 27701 requiere que 27001 esté certificada o en proceso.

No. ISO 27701 es un marco de gestión que facilita el cumplimiento, pero no lo reemplaza. La conformidad con la norma no equivale automáticamente a cumplimiento legal; necesitás el mapeo regulatorio específico.

Típicamente entre 3 y 6 meses adicionales, dependiendo de la complejidad de los tratamientos de datos y la madurez de los procesos de privacidad existentes.

Comparativa

ISO 27001 vs ISO 42001: diferencias clave entre seguridad de la información y gestión de IA

Ver Comparativa

Disponible ahora

¿Listo para actuar sobre estos hallazgos?

¿Necesitas una evaluacion en este ambito?

Solicitar diagnostico→Ver investigaciones→

Loading content…

Puntos clave

ISO 27701 no es independiente: requiere ISO 27001 como base. Planificá la implementación conjunta o secuencial.

El inventario de tratamientos de datos es el artefacto más crítico: sin él, los controles de privacidad carecen de contexto.

El mapeo a regulaciones locales transforma un cumplimiento genérico en una demostración concreta ante reguladores.

Preguntas frecuentes

No de forma independiente. ISO 27701 es una extensión de ISO 27001. Podés implementar ambas simultáneamente, pero la certificación de 27701 requiere que 27001 esté certificada o en proceso.

Típicamente entre 3 y 6 meses adicionales, dependiendo de la complejidad de los tratamientos de datos y la madurez de los procesos de privacidad existentes.

Cómo implementar ISO 27701 en tu organización

Paso a paso

Verificar prerrequisitos: SGSI ISO 27001 operativo

Definir el rol de la organización: controlador o procesador de PII

Realizar el inventario de tratamientos de datos personales

Implementar controles específicos de privacidad

Mapear controles a regulaciones aplicables

Puntos clave

Preguntas frecuentes

Contenido relacionado

ISO 27001 vs ISO 42001: diferencias clave entre seguridad de la información y gestión de IA

ISO 9001 vs ISO 27001: gestión de calidad vs seguridad de la información

ISO 27001

SGSI

Shadow AI: uso de inteligencia artificial sin gobernanza formal

Brecha de datos personales: evaluación de exposición y controles de privacidad

¿Listo para actuar sobre estos hallazgos?

Cómo implementar ISO 27701 en tu organización

Paso a paso

Verificar prerrequisitos: SGSI ISO 27001 operativo

Definir el rol de la organización: controlador o procesador de PII

Realizar el inventario de tratamientos de datos personales

Implementar controles específicos de privacidad

Mapear controles a regulaciones aplicables

Puntos clave

Preguntas frecuentes

Contenido relacionado

ISO 27001 vs ISO 42001: diferencias clave entre seguridad de la información y gestión de IA

ISO 9001 vs ISO 27001: gestión de calidad vs seguridad de la información

ISO 27001

SGSI

Shadow AI: uso de inteligencia artificial sin gobernanza formal

Brecha de datos personales: evaluación de exposición y controles de privacidad

¿Listo para actuar sobre estos hallazgos?